Vulnerabilidad grave en el plugin AI Engine: se recomienda actualizar inmediatamente

Una vez más hay que destacar la importancia de mantener tanto el núcleo de WordPress como los plugins siempre actualizados…

Autor: Jorge Mediavilla. Jorge es licenciado en Periodismo por la Universidad Complutense de Madrid. Ha trabajado en Yahoo!, PRISA y muchos otros sitios de renombre. En 2018 fundó CMS MAG.

Publicado:

05/11/2025

| 🗨️ Comentarios

Acaba de ser descubierto un fallo en el plugin AI Engine de seguridad crítico. La buena noticia es que solo afectó a aquellos que hubieran habilitado la función No Auth URL en el MCP, característica que vienen deshabilitada por defecto. El fallo ha expuesto a esta fracción de las más de 100 mil instalaciones del plugin a acceder a datos no autorizados.

Cambia de CMS gratis con expertos

¿Tu CMS te tiene desesperado?

Cambia a un nuevo CMS, con inteligencia artificial (IA), e incluso ahorra. Los expertos de CMS MAG te asesoran gratis:

Cambia de CMS gratis

El problema grave se reportó a Wordfence el 4 de octubre de 2025 y pocos días después el desarrollador del plugin liberó la versión 3.1.4, que soluciona el problema. Está de más decir que se recomienda actualizar inmediatamente el plugin además de desactivar No Auth URL si no es imprescindible.

Reportar este tipo de problemas en WordPress tiene premio. De hecho, la persona que ha informado sobre ello se va a llevar 2145 dólares gracias al programa de Programa de Recompensas por Errores (Bug Bounty Program) de Wordfence.

Wordfence detalla además que para quienes se hayan visto afectados por esta vulnerabilidad, que efectivamente ha sido explotada, debe rotar su token, puesto que este habría sido expuesto y la única solución es sustituirlo por otro. Concretamente esta vulnerabilidad ha permitido a actores no autentificados extraer el token portador, obtener acceso completo al MCP y elevar sus privilegios, lo que supone un riesgo máximo (9,8 sobre 10 según Wordfence).

Una vez más hay que destacar la importancia de mantener tanto el núcleo de WordPress como los plugins siempre actualizados por razones de seguridad. Más allá de la urgencia, cabe recordar que WordPress triunfa por su sencillez y su enfoque tipo blog, pero su modelo de contenidos funcionalidades son menos profundas que otros CMS y eso empuja a muchos sitios a depender de campos personalizados y de plugins para ampliar capacidades. Esa flexibilidad es útil, aunque crecer a base de extensiones eleva la posibilidad de ser atacado.

En paralelo, el ecosistema VIP de Automattic y alternativas gestionadas para WordPress existen precisamente para añadir controles de seguridad, procesos y soporte empresarial, a cambio de mayor coste, algo que suele ser adecuado para editores complejos que requieren escalabilidad y fiabilidad, mientras que Newspack cubre a pequeños medios con una selección reducida de plugins y un perímetro más controlado.

Noticias relacionadas: Inteligencia artificial (IA)

Comparte el artículo

Etiquetado en AI Engine IA Inteligencia artificial en los CMS MCP Seguridad Wordfence

Newsletter gratuita ‘Tu dosis 💊 de CMS MAG’

➊ Apúntate gratis y únete a más de 1.300 profesionales.

➋ Newsletter escrita personalmente por el director de CMS MAG.

➌ Recibe artículos de calidad de periodismo, CMS, DXP, SEO, IA, GfK…

¡Apúntate y recibe la primera este viernes!

* Al suscribirte, confirmas que aceptas recibir la newsletter semanal de mejorCMS.com y las Condiciones de uso y Política de privacidad de mejorCMS.com, así como las de Mailchimp.

Cambia de CMS gratis

Acaba con tus dolores de cabeza.

CMS MAG evalúa tu caso gratis y te indica el mejor CMS para ti. Consigue nuevas características de IA e incluso ahorro con el cambio:

Cambia de CMS gratis

🔥Noticias populares ahora:

Noticias destacadas de inteligencia artificial (IA):

La orquestación está redefiniendo el papel de los CMS